Username Password

Lost Password
View Thread
Explore Your Brain » All About Security I.T » Info Security
JASAKOM Kena CSRF...
Username
Password
Register FAQ Members List Today's Posts Search

Print Thread

04-06-2009 01:05 AM JASAKOM Kena CSRF...
User Avatar

massmissile
Murid Akademi II


Posts: 23
Joined: 13.10.08
Location: Niigata
Age: 39
WTF... Keren banget dah...
Download source  Code
http://jasakom.com/forum/viewtopic.php?f=112&t=9728&start=15&hilit=phpmyadmin




Bakalan ngirim kokis kesini...
Download source  Code
http://horor.xtgem.com/gue.gif%5b/img%5d



Leap First..Think Later..Loncat Dulu..Baru Mikir..Hehehehe
 
Offline
04-06-2009 09:07 AM RE: JASAKOM Kena CSRF...
User Avatar

EVA-00
HackAge


Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
url password 'kue' nya apaan?? hihihi jadi pengen liat siapa aja yg udah kena...

oia buat temen-temen yang blm tau apa itu CSRF akan saya jelaskan sesingkat-singkatnya, CSRF (Cross Site Request Forgery) adalah salah satu vulnerability pada Web Applikasi yang bekerja dengan cara mengeksploitasi suatu task dari
sebuah Web dengan memanfaatkan Autentikasi yang dimiliki oleh korban.

bingung??? silahkan baca echo|zine, volume 6 issue 18 yang di tulis oleh L41n

btw bugnya Udah di patch sama jasakom blm ya??
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).

..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
 
Offline
04-06-2009 11:27 AM RE: JASAKOM Kena CSRF...
User Avatar

cakill
Murid Akademi I


Posts: 2
Joined: 29.05.09
Location: Dolly Rock City
Age: 40
maap kakak..
/me kalo boleh tau...
apa ntuh semacem hacking juga???

mohon penjelasan kk..
/me masih nyubi
 
Offline
04-06-2009 03:26 PM RE: JASAKOM Kena CSRF...
User Avatar

EVA-00
HackAge


Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
Hacking macemnya ada banyak bro, dan CSRF itu salah satunya. penjelasannya silahkan klik link ezine yg sebelumnya sudah saya post.
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).

..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
 
Offline
06-06-2009 07:19 PM RE: JASAKOM Kena CSRF...
User Avatar

younuzes
Genin


Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
om Andri ...
gw dah nyoba CSRF di XYB ...
tepatnya di edit signature biar setiap orang yang ngeklik link gw di bakal ngerubah signature nya jadi yang gw pengen ... gw juga nyoba di chat form ...
tapi gk bisa ...
Automatic submitnya sih jalan...pas 2 detik di bakal ke redirect ke halaman actionnya ... tapi form nya jadi kosong lagi...jadi signature yang ketulis gk ada .... padahal klo gk pek automatic submit bisa ... ya normal lah kayak web laennya...

itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..
 
Offline
06-06-2009 08:05 PM RE: JASAKOM Kena CSRF...
User Avatar

alpheen
Anbu


Posts: 460
Joined: 21.02.09
Age: 32
WoWCayoooo boleh nyoba nee....
 
Offline
06-06-2009 08:23 PM RE: JASAKOM Kena CSRF...
User Avatar

younuzes
Genin


Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
kok nyoba ..? kan gw bilang gk bisa (kayaknya)....makanya gw pengen tahu cara pencegahannya...
 
Offline
08-06-2009 02:49 PM RE: JASAKOM Kena CSRF...
User Avatar

EVA-00
HackAge


Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
younuzes wrote:
itu gimana om cara nyegahnya ... apa ada hubungannya dengan submit name di tiap submit button yang om buat ??apa di validasi dulu gitu om .. gak ngerti nih gw..


bukan lewat situ, tapi lewat cookies. setiap user yg udah login pasti dapet cookies kok. makanya seandainya kamu nyoba CSRF di xyb ya blm tentu bisa, karna saat user kena jebakan, situs ini mengecek, apakah cookiesnya user yang bersangkutan atau tidak???

kurang lebih begitu bro.
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).

..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
 
Offline
08-06-2009 09:20 PM RE: JASAKOM Kena CSRF...
User Avatar

younuzes
Genin


Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
makin gk ngerti saya om....
maksud lewat cookies maca stealing cookies gitu..

jadi saya nyoba nya gini.....

gw ngebikin file yang sama dengan halaman edit signature...

tapi file tersebut sebelumnya gw edit supaya value dari signature tersebut jadi semau gw...trus actionnya juga gw ganti biar bisa jalan...trus di tambahin dengan automatic submit ..mirip kayak tutorial dari ezine yang om kasih,,,,

nah setelah semua sudah jalan .. misa saya upload file tersebut di hosting...lalu saya membuat link tipuan...yang mengarah ke file tersebut...sehingga tiap user xyb yang sudah login lalu di mengkli link yang saya buat ... dia bakal masuk ke halaman tadi..yang bakal ngerubah signaturenya dia.. tapinya dengan automatic submit dengan delay yang cepet...sypaya gk keliatan..walaupun agak mencurigakan banget...

tapi yang jadi masalah...ketika kita masuk ke halaman tersebut dan dalam 2 detik kita ke redirect ke halaman asli edit signature...gk ada perubahan sama sekali...
beda halnya ketika orang yang mengklik link tersebut secara sengaja menekan tombol submit..(tanpa menggunakan automatic submit.)
 
Offline
10-06-2009 02:51 PM RE: JASAKOM Kena CSRF...
User Avatar

EVA-00
HackAge


Posts: 2770
Joined: 21.05.08
Location: Wallahu a'lam
Age: 38
Saat user buka situs xyb dan login, Server XYB akan mengirimkan cookies dan session yang di simpen di direktori temp di komputer user, sampe sini paham kan...

nah saat user nge-klik "URL" yang lu buat, secara gak langsung, user merequest isi script, dan kebetulan script yg lu buat berfungsi untuk meng-update Signature

nah saat meng-update signature, session & cookie yang sebelumnya telah di download akan di cek (di bandingkan). apakah berasal dari Server XYB atau bukan, apakah User tersebut yang login atau bukan.

Jika iya, maka proses update akan di lakukan, tapi kalo bukan akan di redirect ke form input.

sampe sini paham gak bro?
Nabi Muhammad SAW bersabda :ā€¯ Barangsiapa Yang Mengamalkan Ilmu Yang Ia Ketahui Maka Allah Akan Memberikan Kepadanya Ilmu Yang Belum Ia Ketahuiā€¯ (HR. Imam Ahmad).

..::shn6 u!vJq Jnoh 3Joldx3 d33>I::..
 
Offline
10-06-2009 06:01 PM RE: JASAKOM Kena CSRF...
User Avatar

younuzes
Genin


Posts: 58
Joined: 04.12.08
Location: jakarta
Age: 32
ok saham saham...thanks om..
 
Offline
11-06-2009 12:20 PM RE: JASAKOM Kena CSRF... | Edited by massmissile 11-06-2009 12:22 PM
User Avatar

massmissile
Murid Akademi II


Posts: 23
Joined: 13.10.08
Location: Niigata
Age: 39
Aduh mav baru balez..Alhamdulillah bro, om t0m saat itu juga n hari itu juga keknya langsung ngepatch coz dia udah bilang semua cookiesnya udah diapus..Gw aja langsung ganti password buru2 waktu itu..Kampret tuh yang bikin, mungkin kalo gw yang kena sih ga apa tapi kalo tiba2 kek admin or moderator yang setingkat admin kek si t0m yang kena kan berabe..Bisa2 diacak dah Jasakom =_="

Segitu dulu brother..Btw yang udah kena salah satu nya om t0m sendiri..wkwkwwkwkwk..
Leap First..Think Later..Loncat Dulu..Baru Mikir..Hehehehe
 
Offline
11-06-2009 08:29 PM RE: JASAKOM Kena CSRF...
User Avatar

Cruz3N
Murid Akademi II


Posts: 33
Joined: 03.12.08
Age: 36
WAkakakakak... Rame banget... CSRF tuh kayak One Click To Jail yah? Hehehehehe... ASik banget kalo diterapin ke ADsense...

CMIIW
 
Offline
04-07-2009 10:39 PM RE: JASAKOM Kena CSRF...
User Avatar

andi
Jounin


Posts: 160
Joined: 05.03.09
Location: blacknet
Age: 36
hem...
aku gak tau lagi ne,.,,tapi yang jelas informasinya sangat berguna,,
thanks ya ,,,
Keselek
 
Offline
23-08-2010 11:50 AM RE: JASAKOM Kena CSRF...
User Avatar

odiex
Genin


Posts: 43
Joined: 13.08.10
thread menarik...... ninggalin jejak dulu deh.... ^_^
-----------------------O.D.I.E.X-----------------------
On Duty Inject Exploit the X systems.
 
Offline
Jump to Forum:
Forum powered by fusionBoard
Share this Thread
URL:
BBcode:
HTML:
Similar Threads
Thread Forum Replies Last Post
Networking+ 100% iLLEGAL (EBOOK JASAKOM) E-Book 7 03-06-2020 13:36
Apakah Speedy Saya Kena Sabotase?.. Out Of Topic 6 12-11-2011 16:34
[E-Book] Jasakom : Wireless Kung-Fu + Computer Worm 1 + Computer Worm 2 E-Book 68 28-04-2011 08:40
[HELP] facebook teman saya kena hack Info Security 4 21-11-2010 21:22
LAN lemot Kena virus Ato Bukan?? Networking 7 10-01-2010 02:59
Copyright © 2007-2016